Gezielte Angriffe

Microsoft dementiert fünftes Word-Leck

Gezielte Angriffe auf Unternehmen mit manipulierten Word-Dokumenten
Von Christian Horn

Das Sicherheitsunternehmen Symantec meldete in einem Blog-Eintrag die mögliche Entdeckung eines neuen, noch ungepatchen Sicherheitslecks in Word von Microsoft - was ein fünftes offenes Sicherheitsleck in der Textverarbeitung bedeutet hätte. Symantec habe von mehreren Organisationen Word-Dateien erhalten, die den Trojaner Mdropper.X enthielten. Nach Aussagen von Symantec seien diese Word-Dokumente wie schon bei vorherigen Fällen in gezielten Angriffen auf bestimmte Organisationen eingesetzt worden, bei denen die Dokumente "in Sprache und Inhalt" speziell auf das jeweilige Opfer-Unternehmen zugeschnitten waren.

Symantec meldete die neue Word-Lücke allerdings unter dem Vorbehalt, es könne sich auch um eine Variation von schon bekannten Schwachstellen handeln. Dieser Vorbehalt scheint sich nun bestätigt zu haben. InformationWeek zufolge soll Microsoft in einem E-Mail-Statement die neue Word-Lücke dementiert haben. Es handle sich dabei nur um eine Abwandlung einer schon im Dezember aufgedeckten Sicherheitslücke in Word.

Das moderne Szenario einer ferngesteuerten Wirtschaftsspionage

Dennoch kann bei der Sicherheit im Umgang mit Word-Dokumenten keine Entwarnung gegeben werden, bestehen doch nach wie vor vier ungepatchte Sicherheitslücken in Microsofts Textverarbeitungsprogramm. Über jede dieser kritischen Sicherheitslücken können Angreifer die Kontrolle über die betroffenen Rechner gewinnen. Im konkreten Fall von gezielt angegriffenen Unternehmen kann das beispielsweise bedeuten, dass die Angreifer, ohne dass der Nutzer es bemerken würde, vollständige Einsicht und Zugriff auf sämtliche, auf dem Rechner gespeicherten Dokumente erlangen kann - das moderne Szenario einer ferngesteuerten Wirtschaftsspionage.

Auch Microsoft scheint sich dieser Bedrohung bewusst zu sein. Der Software-Hersteller definierte [Link entfernt] vor kurzem genauer, was eigentlich unter den in Sicherheits-Kommentaren immer wieder formelhaft genannten "sehr begrenzten, gezielten Angriffen" ("very limited, targeted attacks") zu verstehen sei. Im Unterschied zu den per Massenmailing verbreiteten, großflächigen Angriffen, seien hier ganz gezielte, maßgeschneiderte Angriffe auf eine kleine Anzahl von Unternehmen, manchmal sogar nur ein einzelnes, gemeint.

Auch bekannte Absender-Adressen können gefälscht sein

Da die Internet-Kriminellen ihre Späh-Trojaner beständig abwandeln, können sie immer wieder Zeitfenster schaffen, in denen die Signaturen der Anti-Viren-Software die neueste Variante noch nicht erkennen und somit den Schutz unterlaufen. Hier kann dann nur noch die Vorsicht der Nutzer beim Umgang mit unaufgefordert zugesandten Dokumenten helfen. Sicherheitsunternehmen raten sogar, im Zweifelsfall auch Dokumente aus bekannten Quellen nicht ohne vorherige Rückfrage zu öffnen, da auch bekannte Absender-Adressen gefälscht sein können.